home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / gtmhh1_5.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  12.0 KB  |  326 lines
  1. _______________________________________________________
  2.  
  3. GUIDE TO (mostly) HARMLESS HACKING
  4.  
  5. Vol. 1 Number 5
  6.  
  7. It's vigilante phun day again! How get email spammers kicked off their ISPs.
  8. _______________________________________________________
  9.  
  10. So, have you been out on Usenet blasting spammers? It's phun, right?
  11.  
  12. But if you have ever done much posting to Usenet news groups, you will
  13. notice that soon after you post, you will often get spam email. This is
  14. mostly thanks to Lightning Bolt, a program written by Jeff Slayton to strip
  15. huge volumes of email addresses from Usenet posts.
  16.  
  17. Here's one I recently got:
  18.  
  19. Received: from mail.gnn.com (70.los-angeles-3.ca.dial-access.att.net 
  20. [165.238.38.70]) by mail-e2b-service.gnn.com (8.7.1/8.6.9) with SMTP id 
  21. BAA14636; Sat, 17 Aug 1996 01:55:06 -0400 (EDT)
  22. Date: Sat, 17 Aug 1996 01:55:06 -0400 (EDT)
  23. Message-Id: <199608170555.BAA14636@mail-e2b-service.gnn.com>
  24. To: 
  25. Subject: Forever
  26. From: FREE@Heaven.com
  27.  
  28.                        "FREE"   House and lot in   "HEAVEN"
  29.  
  30.     Reserve yours now, do it today, do not wait. It is  FREE 
  31. just for the asking. You receive a Personalized Deed and detailed Map to
  32. your home  in  HEAVEN. Send your name and address along with a one time
  33. minimum donation of $1.98 cash, check, or money order to
  34. help cover s/h cost
  35.  
  36.        TO:  Saint Peter's Estates      
  37.           P.O. Box 9864
  38.           Bakersfield,CA 93389-9864       
  39.  
  40. This is a gated community and it is "FREE".   
  41.  
  42. Total satisfaction for 2 thousand years to date.           
  43.                     
  44. >From the Gate Keeper.         (PS. See you at the Pearly Gates)
  45.                      GOD will Bless you.
  46.  
  47. Now it is a pretty good guess that this spam has a forged header. To
  48. identify the culprit, we employ the same command that we used with Usenet spam:
  49.  
  50.     whois heaven.com
  51.  
  52. We get the answer:
  53.  
  54.     Time Warner Cable Broadband Applications (HEAVEN-DOM)
  55.        2210 W. Olive Avenue
  56.        Burbank, CA 91506
  57.  
  58.        Domain Name: HEAVEN.COM
  59.  
  60.        Administrative Contact, Technical Contact, Zone Contact,     Billing Contact:
  61.           Melo, Michael  (MM428)  michael@HEAVEN.COM
  62.           (818) 295-6671
  63.  
  64.        Record last updated on 02-Apr-96.
  65.        Record created on 17-Jun-93.
  66.  
  67.        Domain servers in listed order:
  68.  
  69.        CHEX.HEAVEN.COM              206.17.180.2
  70.        NOC.CERF.NET                 192.153.156.22
  71.  
  72. >From this we conclude that this is either genuine (fat chance) or a better
  73. forgery than most. So let's try to finger FREE@heaven.com. 
  74.  
  75. First, let's check out the return email address:
  76.  
  77.     finger FREE@heaven.com
  78.  
  79. We get:
  80.  
  81.     [heaven.com]
  82.     finger: heaven.com: Connection timed out
  83.  
  84. There are several possible reasons for this. One is that the systems
  85. administrator for heaven.com has disabled the finger port. Another is that
  86. heaven.com is inactive. It could be on a host computer that is turned off,
  87. or maybe just an orphan. 
  88.  
  89. *********************
  90. Newbie note: You can register domain names without setting them up on a
  91. computer anywhere. You just pay your money and Internic, which registers
  92. domain names, will put it aside for your use. However, if you don't get it
  93. hosted by a computer on the Internet within a few weeks, you may loose your
  94. registration.
  95. *********************
  96.  
  97. We can test these hypotheses with the ping command. This command tells you
  98. whether a computer is currently hooked up to the Internet and how good its
  99. connection is.
  100.  
  101. Now ping, like most kewl hacker tools, can be used for either information or
  102. as a means of attack. But I am going to make you wait in dire suspense for a
  103. later Guide to (mostly) Harmless Hacking to tell you how some people use
  104. ping. Besides, yes, it would be *illegal* to use ping as a weapon.
  105.  
  106. Because of ping's potential for mayhem, your shell account may have disabled
  107. the use of ping for the casual user. For example, with my ISP I have to go
  108. to the right directory to use it. So I give the command:
  109.  
  110.     /usr/etc/ping heaven.com
  111.  
  112. The result is:
  113.  
  114.     heaven.com is alive
  115.  
  116. ***********************
  117. Technical Tip: On some versions of Unix,giving the command "ping" will start
  118. your computer pinging the target over and over again without stopping. To
  119. get out of the ping command, hold down the control key and type "c". And be
  120. patient, next Guide to (mostly) Harmless Hacking will tell you more about
  121. the serious hacking uses of ping.
  122. ***********************
  123.  
  124. Well, this answer means heaven.com is hooked up to the Internet right now.
  125. Does it allow logins? We test this with:
  126.  
  127.     telnet heaven.com
  128.  
  129. This should get us to a screen that would ask us to give user name and
  130. password. The result is:
  131.  
  132.     Trying 198.182.200.1 ...
  133.     telnet: connect: Connection timed out
  134.  
  135. OK, now we know that people can't remotely log in to heaven.com. So it sure
  136. looks as if it was an unlikely place for the author of this spam to have
  137. really sent this email.
  138.  
  139. How about chex.heaven.com? Maybe it is the place where spam originated? I
  140. type in:
  141.  
  142.     telnet  chex.heaven.com 79
  143.  
  144. This is the finger port. I get:
  145.  
  146.     Trying 206.17.180.2 ...
  147.     telnet: connect: Connection timed out
  148.  
  149. I then try to get a screen that would ask me to login with user name, but
  150. once again get "Connection timed out."
  151.  
  152. This suggests strongly that neither heaven.com or chex.heaven.com are being
  153. used by people to send email. So this is probably a forged link in the header.
  154.  
  155. Let's look at another link on the header:
  156.  
  157.     whois gnn.com
  158.  
  159. The answer is:
  160.  
  161.    America Online (GNN2-DOM)
  162.    8619 Westwood Center Drive
  163.    Vienna, VA 22182
  164.    USA
  165.  
  166.    Domain Name: GNN.COM
  167.  
  168.    Administrative Contact:
  169.       Colella, Richard  (RC1504)  colella@AOL.NET
  170.       703-453-4427
  171.    Technical Contact, Zone Contact:
  172.       Runge, Michael  (MR1268)  runge@AOL.NET
  173.       703-453-4420
  174.    Billing Contact:
  175.       Lyons, Marty  (ML45)  marty@AOL.COM
  176.       703-453-4411
  177.  
  178.    Record last updated on 07-May-96.
  179.    Record created on 22-Jun-93.
  180.  
  181.    Domain servers in listed order:
  182.  
  183.    DNS-01.GNN.COM               204.148.98.241
  184.    DNS-AOL.ANS.NET              198.83.210.28
  185.  
  186. Whoa! GNN.com is owned by America Online. Now America Online, like
  187. Compuserve, is a computer network of its own that has gateways into the
  188. Internet. So it isn't real likely that heaven.com would be routing email
  189. through AOL, is it? It would be almost like finding a header that claims its
  190. email was routed through the wide area network of some Fortune 500
  191. corporation. So this gives yet more evidence that the first link in the
  192. header, heaven.com, was forged.
  193.  
  194. In fact, it's starting to look like a good bet that our spammer is some
  195. newbie who just graduated from AOL training wheels. Having decided there is
  196. money in forging spam, he or she may have gotten a shell account offered by
  197. the AOL subsidiary, GNN. Then with a shell account he or she could get
  198. seriously into forging email.
  199.  
  200. Sounds logical, huh? Ah, but let's not jump to conclusions. This is just a
  201. hypothesis and it may be wrong. So let's check out the remaining link in
  202. this header:
  203.  
  204.     whois att.net
  205.  
  206. The answer is:
  207.  
  208.    AT&T EasyLink Services (ATT2-DOM)
  209.    400 Interpace Pkwy
  210.    Room B3C25
  211.    Parsippany, NJ 07054-1113
  212.    US
  213.  
  214.    Domain Name: ATT.NET
  215.  
  216.    Administrative Contact, Technical Contact, Zone Contact:
  217.       DNS Technical Support  (DTS-ORG)  hostmaster@ATTMAIL.COM
  218.       314-519-5708
  219.    Billing Contact:
  220.       Gardner, Pat  (PG756)  pegardner@ATTMAIL.COM
  221.       201-331-4453
  222.  
  223.    Record last updated on 27-Jun-96.
  224.    Record created on 13-Dec-93.
  225.  
  226.    Domain servers in listed order:
  227.  
  228.    ORCU.OR.BR.NP.ELS-GMS.ATT.NET199.191.129.139
  229.    WYCU.WY.BR.NP.ELS-GMS.ATT.NET199.191.128.43
  230.    OHCU.OH.MT.NP.ELS-GMS.ATT.NET199.191.144.75
  231.    MACU.MA.MT.NP.ELS-GMS.ATT.NET199.191.145.136
  232.  
  233. Another valid domain! So this is a reasonably ingenious forgery. The culprit
  234. could have sent email from any of heaven.com, gnn.com or att.net. We know
  235. heaven.com is highly unlikely because we can't get even the login port to
  236. work. But we still have gnn.com and att.net as suspected homes for this spammer.
  237.  
  238. The next step is to email a copy of this spam *including headers* to both
  239. postmaster@gnn.com (usually a good guess for the email address of the person
  240. who takes complaints) and runge@AOL.NET, who is listed by whois as the
  241. technical contact. We should also email either postmaster@att.net (the good
  242. guess) or hostmaster@ATTMAIL.COM (technical contact). 
  243.  
  244. Presumably one of the people reading email sent to these addresses will use
  245. the email message id number to look up who forged this email. Once the
  246. culprit is discovered, he or she usually is kicked out of the ISP. 
  247.  
  248. But here is a shortcut. If you have been spammed by this guy, lots of other
  249. people probably have been, too. There's a news group on the Usenet where
  250. people can exchange information on both email and Usenet spammers,
  251. news.admin.net-abuse.misc. Let's pay it a visit and see what people may have
  252. dug up on FREE@heaven.com. Sure enough, I find a post on this heaven scam:
  253.  
  254. From: bartleym@helium.iecorp.com (Matt Bartley)
  255. Newsgroups: news.admin.net-abuse.misc
  256. Subject: junk email - Free B 4 U - FREE@Heaven.com
  257. Supersedes: <4uvq4a$3ju@helium.iecorp.com>
  258. Date: 15 Aug 1996 14:08:47 -0700
  259. Organization: Interstate Electronics Corporation
  260. Lines: 87
  261. Message-ID: <4v03kv$73@helium.iecorp.com>
  262. NNTP-Posting-Host: helium.iecorp.com
  263.  
  264. (snip)
  265.  
  266. No doubt a made-up From: header which happened to hit a real domain
  267. name.
  268.  
  269. Postmasters at att.net, gnn.com and heaven.com notified.  gnn.com has
  270. already stated that it came from att.net, forged to look like it came from
  271. gnn.  Clearly the first Received: header is inconsistent.
  272.  
  273. Now we know that if you want to complain about this spam, the best place to
  274. send a complaint is postmaster@att.net.
  275.  
  276. But how well does writing a letter of complaint actually work? I asked ISP
  277. owner Dale Amon. He replied, "From the small number of spam messages I have
  278. been seeing - given the number of generations of exponential net growth I
  279. have seen in 20 years - the system appears to be *strongly* self regulating.
  280. Government and legal systems don't work nearly so well.
  281.  
  282. "I applaud Carolyn's efforts in this area. She is absolutely right. Spammers
  283. are controlled by the market. If enough people are annoyed, they respond. If
  284. that action causes problems for an ISP it puts it in their economic interest
  285. to drop customers who cause such harm, ie the spammers. Economic interest is
  286. often a far stronger and much more effective incentive than legal requirement.
  287.  
  288. "And remember that I say this as the Technical Director of the largest ISP
  289. in Northern Ireland."
  290.  
  291. How about suing spammers? Perhaps a bunch of us could get together a class
  292. action suit and drive these guys into bankruptcy?
  293.  
  294. Systems administrator Terry McIntyre argues, "I am opposed to attempts to
  295. sue spammers. We already have a fairly decent self-policing mechanism in place. 
  296.  
  297. "Considering that half of everybody on the internet are newbies (due to the
  298. 100% growth rate), I'd say that self-policing is marvelously effective.
  299.  
  300. "Invite the gov't to do our work for us, and some damn bureaucrats will
  301. write up Rules and Regulations and Penalties and all of that nonsense. We
  302. have enough of that in the world outside the 'net; let's not invite any of
  303. it to follow us onto the 'net."
  304.  
  305. So it looks like Internet professionals prefer to control spam by having net
  306. vigilantes like us track down spammers and report them to their ISPs. Sounds
  307. like phun to me! In fact, it would be fair to say that without us net
  308. vigilantes, the Internet would probably grind to a halt from the load these
  309. spammers would place on it.
  310.  
  311. OK, I'm signing off for this column. I look forward to your contributions to
  312. this list. Have some vigilante phun -- and don't get busted!
  313. __________________________________________________________________
  314.  
  315. Want to share some kewl stuph? Tell me I'm terrific? Flame me? For the first
  316. two, I'm at cmeinel@techbroker.com. Please direct flames to
  317. dev/null@techbroker.com. Happy hacking!
  318. _______________________________________________________
  319. Copyright 1996 Carolyn P. Meinel. You may forward the GUIDE TO (mostly)
  320. HARMLESS HACKING as long as you leave this notice at the end. To subscribe,
  321. email cmeinel@techbroker.com with message "subscribe hacker
  322. <joe.blow@boring.ISP.net>" substituting your real email address for Joe Blow's. 
  323. ___________________________________________________________________
  324.  
  325.  
  326.